SQL Injection 防御——预编译

最新推荐文章于 2023-05-14 08:31:36 发布
最新推荐文章于 2023-05-14 08:31:36 发布
阅读量574 收藏 1
点赞数
分类专栏: 数据库漏洞 文章标签: sql 数据库 安全 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/126913694
版权

目录

(一)Reference:

形成原因:

(二)什么是预处理

1、普通的SQL语句执行过程

2、预处理执行过程

2.1 把SQL语句分成两部分,命令部分和数据部分

2.2 先把命令部分发送给MySQL服务端,MySQL服务端进行SQL预编译(?占位符)

 2.3 然后把数据部分发送给MySQL服务端,MySQL服务端对SQL语句进行占位符替换

 2.4  MySQL服务端执行完整的SQL语句并将结果返回给客户端

总结:

 3、代码实现

1、数据库开启Log

2、服务端代码

         由于笔者个人水平有限,行文如有不当,还请各位师傅评论指正,非常感谢

(一)Reference

https://dev.mysql.com/doc/refman/5.7/en/sql-prepared-statements.html
https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat _Sheet.htm

        本篇文章主要介绍预编译,首先 回顾 SQL 注入发生的原因

形成原因:

 用户输入的数据作为代码执行了

  1. 用户能控制传参
  2. SQL语句中拼接了用户传参的内容
  3. 拼接后的SQL语句必须能在数据库中执行 
def bypass_from_param(string): 
sql_string = "select * from products where category = '{}' and released = 0".format(string) print(sql_string) 
if __name__ == '__main__': 
bypass_from_param("Gifts'")

(二)什么是预处理

1、普通的SQL语句执行过程

  1. 客户端对SQL语句进行占位符替换得到完整的SQL语句
  2. 客户端发送完整SQL语句到MySQL服务端
  3. MySQL服务端执行完整的SQL语句并将结果返回给客户端

总结:

         一次编译,单次运行,此类普通语句被称作 Immediate Statements (即时 SQL)

2、预处理执行过程

2.1 把SQL语句分成两部分,命令部分和数据部分

2.2 先把命令部分发送给MySQL服务端,MySQL服务端进行SQL预编译(?占位符)

 2.3 然后把数据部分发送给MySQL服务端,MySQL服务端对SQL语句进行占位符替换

 2.4  MySQL服务端执行完整的SQL语句并将结果返回给客户端

        处理后的数据就成这样:

总结:

         所谓预编译语句就是将此类 SQL 语句中的值用占位符替代,可以视为将 SQL 语句模板化或者说参数化,一般称这类语句叫Prepared Statements

 3、代码实现

# 定义预处理语句 PREPARE stmt_name FROM preparable_stmt;
# 执行预处理语句 EXECUTE stmt_name [USING @var_name [, @var_name] ...]; 
# 删除(释放)定义 {DEALLOCATE | DROP} PREPARE stmt_name; 

# 验证 use sql_inject; 
prepare select_content from 'select id,name,content,
released from products where category = ? and released = ?'; 
set @a='Gifts' 
set @b=0 
execute select_content using @a,@b;

        假如我们a输入的是Gifts'#,输出的数据是空,原因很简单SQL语句之前已经编译过了,现在传入的是参数,表里没有Gift'#的参数,所以返回的是空。

1、数据库开启Log 

vim /etc/mysql/mysql.conf.d/mysqld.cnf 
general_log=on 
general_log_file=/tmp/mysql.log
 # 查看log tail -f /tmp/mysql.log

2、服务端代码 

package api 
import ( 
    "log" 
    "net/http" 
    "sql_injection/model" 
    "github.com/gin-gonic/gin" 
)
func ProductsHandler(c *gin.Context) { 
    a := c.Query("category") 
    s := c.Query("released") 

    log.Println(a) 
    //sqlStr := fmt.Sprintf(`select id,name,content,released from products where category = '%s' and released = %s`, a, s) 
    // 预编译模板 
    sqlStr := "select id,name,content,released from products where category = ? and released = ? " 
    log.Println(sqlStr) 

    stmt, err2 := model.DB.Prepare(sqlStr) 
    if err2 != nil {
     c.JSON(http.StatusOK, gin.H{
     "code": 404, "err": 
     err2.Error(), 
    "msg": "error", 
   })
    return 
}
rows, err := stmt.Query(a, s) 
    if err != nil {
     c.JSON(http.StatusOK, 
        gin.H{ 
        "code": 404, 
        "err": err.Error(), 
        "msg": "error", })
        return }
    var r []model.Product
    for rows.Next() { 
        var p model.Product 
        if rowErr := rows.Scan(&p.Id, &p.Name, &p.Content, &p.Released); rowErr != nil 
{
     c.JSON(200, gin.H{
         "code": 404, 
         "err": rowErr.Error(), 
         "msg": "error", 
    }) 
   }r = append(r, p)

}
c.JSON(
    200, gin.H{ 
    "code": 0,
     "data": r, 
    "msg": "success", 
   }) 
}
预处理有什么好处:
  1. 优化MySQL服务器重复执行SQL的方法,可以提升服务器性能,提前让服务器编译,一次编译多次执行,节省后续编译的成本
  2. 避免SQL注入
@Camelus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
处理语句占位符的使用
xueling022的专栏
11-19 4215
处理语句占位符的使用,方法绑定参数,sql注入等..try{ $user = "root"; // 这里是你的数据库用户名 $pwd = "yangli"; // 这是是你的数据库密码 $pdo = new PDO("mysql:dbname=test;host=127.0.0.1", $user, $pwd); }catch(PDOException$e){ ec
SQL语句填充占位符
04-22
动态生成SQL语句,通过给定的条件自动填充SQL语句的配位符,而避免通过程序判断生成SQL语句
SQL中占位符?的用法介绍~
热门推荐
程序人生~
11-14 3万+
Sql语句中的占位符?有什么作用 String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ; pstmt = conn.prepareStatement(sql) ; pstmt.setString(1,userid) ; // 这里设置了第一个?的值 pstmt.setString(2,pas...
编译SQL语句是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 488
当执行SQL语句时,只需要将绑定的参数传递给数据库即可,数据库会使用编译好的格式执行SQL语句,并返回结果。当使用处理语句时,首先需要准备一个SQL语句模板,然后将SQL语句模板发送给数据库,数据库会对SQL语句模板进行编译,最后通过绑定变量的方式来填充SQL语句的参数。这个过程可以减少SQL注入攻击的风险,并且可以大大提高执行SQL语句的效率。编译SQL语句是指在执行SQL语句之前将SQL语句转换成一个可执行的格式,这个格式是可以被数据库直接执行的,并且这个格式是已经经过优化的。
Oracle的动态SQL
NowOrNever
10-05 1万+
原文:http://space.itpub.net/26622598/viewspace-718134 在PLSQL中使用EXECUTE IMMEDIATE语句处理动态SQL语句。 语法如下: EXECUTE IMMEDIATE dynamic_string [INTO {define_variable[, define_variable]... | record}] [USING [I
sql注入(编译
qq_61109509的博客
02-25 1830
sql处理就是提前告诉sql语法处理器,提前声明且编译特定格式的sql语句,将所有用户的输入视为纯字符串参数,最后组成查询语句 php使用处理的步骤 1,连接到数据库 2,设置处理语句的结构 3,用户输入 4,执行sql语句 $stmt=$conn->prepare('SELECT 1 FROM user WHERE username=? AND password=?'); //设置处理的语句结构,?表示要填入的用户输入 $input_username="root"; $.
MySQL编译功能详解
12-16
MySQL编译功能是一种优化技术,主要用于提高数据库操作的性能,特别是在执行大量重复的SQL语句时。编译的核心思想是将SQL语句的语法检查和编译过程提前到第一次执行时完成,之后只需替换不同的参数即可,避免...
一文搞懂MySQL编译
09-08
MySQL编译是一种提高数据库操作效率的技术,尤其在处理大量重复SQL语句时效果显著。编译的主要目的是减少语法检查和编译的开销,从而提升数据库的性能。本文将深入探讨MySQL编译的概念、好处、执行过程以及...
sql注入初学——松风1
08-03
对于开发人员来说,确保输入验证、使用编译SQL语句、限制数据库用户的权限以及定期更新数据库软件是防止SQL注入的重要措施。同时,对于安全从业人员,理解这些技术有助于检测和修复系统的漏洞,保护数据安全。
sql server 编译与重编译详解
12-16
SQL Server接收到任何指令,如查询、批处理、存储过程、触发器、编译指令或动态SQL语句,它首先进行语法和语义解析,然后进行编译,生成可执行的执行计划。在编译过程中,SQL Server会基于涉及的对象的架构、...
spring自带的jdbcTemplate查询、插入编译使用
07-28
编译SQL可以有效防止SQL注入,提高代码的可读性和执行效率。在使用`jdbcTemplate`进行编译查询时,我们通常会使用`query()`或`queryForList()`方法。例如: ```java String sql = "SELECT * FROM table WHERE ...
MyBatis——占位符,转义字符,多元素查询(模糊查询),动态sql(多条件中多查询,多条件中单查询)
prisoneradvance的博客
03-06 1239
占位符
SQL编译
weixin_47804371的博客
03-22 6446
1.数据库编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了编译编译语句就是将这类
编译sql注入
weixin_54855337的博客
12-05 2845
编译sql注入
替换过占位符的SQL日志收集,同时收集Mapper及其参数日志到指定文件
xusanyao的博客
08-07 485
1 参数收集 复写Mybatis-3.4.6以来中org.apache.ibatis.logging.jdbc.BaseJdbcLogger类中的debug方法。 package org.apache.ibatis.logging.jdbc; import java.sql.Array; import java.sql.SQLException; import java.util.Arra...
Sql编译
南陈的博客
07-06 2521
一、什么是sql编译? 当数据库接收到sql时,需要词法和语义的解析,优化sql,制定执行计划。每次编译都比较耗时间。 二、如何减少编译? 在实际开发中,对数据库的基本操作就是curd,每次执行sql都有经过编译过程,那么就需要消耗大量的时间,因此就有了编译的过程,编译可以想象成将sql变成一个函数,在需要的时候传参进行即可使用。这样就能达到一次编译,多次运行的效果。 三、编译的实...
SQL语句中的占位符是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 1512
在PHP中,PDO和mysqli扩展都支持处理语句,并且提供了绑定参数的方法来使用占位符。例如,使用PDO的prepare()方法准备SQL语句,然后使用bindParam()或bindValue()方法来绑定参数值。在执行时,使用execute()方法执行SQL语句即可。当一个SQL语句使用占位符时,数据库系统可以编译该语句,并在需要执行时,只需要绑定参数并执行,避免了每次执行都需要解析和编译SQL语句的开销。它们被用来构建可重用的SQL语句,通过在运行时绑定实际的参数值,以生成具体的SQL语句。
sql占位符的使用
欢迎访问,Viola的博客!
07-16 1万+
1.增加SQL代码可读性2.占位符可以编译,提高执行效率3.防止SQL注入4用占位符的目的是绑定变量,这样可以减少数据SQL的硬解析,所以执行效率会提高不少 绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能。然刀子磨的太快,...
SQL注入、占位符拼接符
喜欢猪猪
06-03 3010
目录 一、什么是SQL注入 二、Mybatis中的占位符和拼接符 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
SqlQuery 如何使用编译
最新发布
06-02
可以使用SqlQuery对象的`execute(String sql, SqlParameterSource parameterSource, ResultSetExtractor<T> resultSetExtractor)`方法来执行编译SQL语句。 使用编译SQL语句的步骤如下: 1. 编写SQL语句,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值